Oglas
![Facebook tiho zakrpa ogromnu sigurnosnu rupu, milijuni potencijalno pogođeni [Vijesti] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook je potvrdio tvrdnje Symanteca o milijunima procurjelih "pristupnih žetona". Ovi tokeni omogućuju aplikaciji pristup osobnim podacima i izmjene profila, pružanje trećih strana "rezervni ključ" za informacije o profilu, fotografijama, zidu i poruke.
Nije potvrđeno jesu li te treće strane (uglavnom oglašivači) znale za sigurnosnu rupu, iako je Facebook od tada rekao Symantecu da je kvar riješen. Pristup odobren putem ovih ključeva mogao bi se čak koristiti za rudanje osobnih podataka korisnika, uz dokaze da bi sigurnosni propust mogao datirati u 2007. godinu kada su pokrenute Facebook aplikacije.
Zaposlenik Symanteca Nishant Doshi izjavio je u a blog blog:
“Procjenjujemo da je od travnja 2011. godine blizu 100 000 zahtjeva omogućilo to istjecanje. Procjenjujemo da bi tijekom godina stotine tisuća aplikacija nehotice dopustile milijune pristupnih tokena trećim stranama.”
Nije baš Sony
Tokeni za pristup daju se kada korisnik instalira aplikaciju i usluzi odobri pristup podacima svog profila. Obično pristupni ključevi istječu s vremenom, iako mnoge aplikacije zahtijevaju izvanmrežni pristupni ključ koji se neće promijeniti sve dok korisnik ne postavi novu zaporku.
Unatoč tome što Facebook koristi čvrste metode provjere autentičnosti OAUTH2.0, brojni stariji shemi provjere autentičnosti i dalje su prihvaćeni i koriste ih tisuće aplikacija. Upravo te aplikacije, korištenjem zastarjelih sigurnosnih metoda, mogu nehotice prenijeti podatke trećim stranama.
Nishant objašnjava:
"Aplikacija koristi preusmjeravanje na strani klijenta za preusmjeravanje korisnika do dijaloškog okvira s dozvolama programa poznate aplikacije. Ovo neizravno curenje moglo bi se dogoditi ako aplikacija koristi naslijeđeni Facebook API i ima sljedeće zastarjele parametre, "return_session = 1" i "session_version = 3 ″", kao dio koda za preusmjeravanje. "
![Facebook tiho zakrpa ogromnu sigurnosnu rupu, milijuni potencijalno pogođeni [Vijesti] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
U slučaju korištenja ovih parametara (na slici gore), Facebook bi vratio HTTP zahtjev koji sadrži URL-ove znakove za pristup. U sklopu sheme preporuka, ovaj se URL zauzvrat prenosi oglašavačima trećih strana, zajedno s pristupnim tokenom (na slici dolje).
![Facebook tiho krpa masovnu sigurnosnu rupu, milijuni potencijalno pogođeni [Vijesti] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Korisnici koji su zabrinuti da su njihovi pristupni ključevi dobro i istinski procurili, trebali bi odmah promijeniti lozinke kako bi automatski postavili token.
Na službenom Facebook blogu nije bilo vijesti o kršenju, iako su od tada promijenjene metode provjere autentičnosti aplikacije objavljeno je na blogu za programere, zahtijevajući da se sve web lokacije i aplikacije prebace na OAUTH2.0.
Jeste li paranoični po pitanju internetske sigurnosti? Izrazite svoje mišljenje o trenutnom stanju Facebooka i internetskoj sigurnosti općenito u komentarima!
Kreditna slika: Symantec
Tim je slobodni pisac koji živi u Melbourneu u Australiji. Možete ga pratiti na Twitteru.
